[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方

Transcript

1. [2024最新版] AWS Control Towerを使った セキュアなマルチアカウント環境の作り⽅ 2024.7.19 AWS事業本部 コンサルティング部 芦沢広昭

2. Xへの投稿の際は、 ハッシュタグ #devio2024 でお願いいたします。 2 お願い

3. ⾃⼰紹介 3 芦沢 広昭 / あしざわ ひろあき ▣ 所属： AWS事業本部コンサルティング部

   / ソリューションアーキテクト ▣ 業務： AWS設計構築・コンサルティング ▣ その他： HibiyaTech運営 2023-2024 Japan AWS All Certifications Engineers 2024 Japan AWS Top Engineers（Security） 2023〜 AWS Community Builders（Security & Identity）

4. 想定する視聴者のレベル 本セッションのレベルは 100 から 300 を想定して作成しています。 • 基礎編：レベル100 〜 レベル200

   • 実践編：レベル200 〜 レベル300 ※レベルの説明 • Level 100 : AWS サービスの概要を解説するレベル • Level 200 : トピックの⼊⾨知識を持っていることを前提に、ベストプラクティス、サービス機能を解説するレベル • Level 300 : 対象のトピックの詳細を解説するレベル • Level 400 : 複数のサービス、アーキテクチャによる実装でテクノロジーがどのように機能するかを解説するレベル 4

5. ⽬指すゴール • AWSセキュリティ、マルチアカウント管理といった 基本的な概念を理解している • セキュアなAWS環境を作るための構成要素について理解する • AWS Control Towerを使ったマルチアカウント環境の構築に臨

   むスタート地点に⽴っている 5

6. アジェンダ • 導⼊：3分 • 基礎編：12分 ◦ AWSセキュリティの基本 (5分) ◦ AWS環境分割の基本

   (7分) • 実践編：15分 ◦ AWS Control Towerでできること、できないこと (5分) ◦ AWSマルチアカウント環境を作る前に考えるべきポイント (5分) ◦ セキュアなAWS運⽤のための組織づくり (5分) • まとめ：2分 6

7. 質問： これからAWSを学ぶ⽅、 何から始めるべき？ 7

8. まずはセキュリティ （断⾔） 8

9. 基礎編 9

10. 基礎編のゴール • AWSセキュリティ、マルチアカウント管理といった基本的な概念を理解 している 10

11. 基礎編： AWSセキュリティの基本 11

12. AWSセキュリティの基本 • AWS責任共有モデル • なぜセキュリティが⼤切なのか 12

13. AWS責任共有モデル 13

14. AWS責任共有モデル 14 範囲内の網羅的な セキュリティ対策を ⾏う責任がある 残りの部分は AWSがセキュリティを担保 (ユーザーによる考慮不要)

15. なぜセキュリティが⼤切なのか • AWSアカウントやAWS上のリソースにはインターネット経由でアクセ スできるから • 初期状態のAWSアカウントはセキュリティ設定が⼗分ではないため、 セキュリティ設定 が必須 15

16. セキュリティ設定の例 • 多要素認証の設定（rootユーザー/IAMユーザー） • 監査ログの⻑期間保存設定（AWS CloudTrail 証跡） • AWSリソース変更履歴の記録（AWS Config

    レコーダー） • AWSアカウントへの脅威検出の有効化（Amazon GuardDuty） • AWS設定値のセキュリティチェックの有効化（AWS Security Hub） • サーバー内に含まれる脆弱性検出の有効化（Amazon Inspector） • ストレージのパブリックアクセス公開の防⽌（Amazon S3ブロックパブリッ クアクセス） など... 16

17. セキュリティの定期点検‧更新 セキュリティ設定は⼀度実施して終わりではなく、定期点検と更新が必要です。 • 定期点検：セキュアな状態が維持されているかの確認 • 定期更新：最新の脅威に対して現在のセキュリティ対策が最適だという確認 17

18. AWSサービスによる定期点検‧定期更新 AWS Security Hub • AWSアカウント内の設定値を定期的に⾃動チェック、セキュリティ的に推奨 される設定になっているか確認できる • チェック基準はセキュリティコントロールとして公開、⾃動更新される ※コントロールは

    [EC2.1]のような [AWSサービス名.番号]の形式のIDで1つずつ管理 https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards.html 18

19. AWSセキュリティの基本：まとめ • AWS責任共有モデル → ユーザーには網羅的なセキュリティ対策を実施する責任がある • なぜセキュリティが⼤切なのか → AWSアカウントはインターネットからアクセスできるから →

    初期設定だけでなく定期点検‧定期更新も重要 AWS Security Hubを活⽤しよう 19

20. 基礎編： AWS環境分割の基本 20

21. AWS環境分割の基本 • AWSの環境分割パターン • なぜマルチアカウントなのか 21

22. AWS環境分割とは AWSアカウント上で運⽤するシステムをどのような基準で分割し 管理するか 22

23. パターン1：VPC単位で分割 23 共通の１つのAWSアカウントを利⽤、VPCごとにシステムを分割する （= シングルアカウントアーキテクチャ、シングルアカウント構成）

24. パターン2：AWSアカウント単位で分割 24 システムごとにAWSアカウントを分割する （= マルチアカウントアーキテクチャ、マルチアカウント構成）

25. マルチアカウント構成がおすすめ AWSアカウント単位で分割する、マルチアカウント構成がおすすめ 25 ＜

26. なぜマルチアカウントなのか 以下の観点からAWSアカウントを分けた⽅が運⽤上都合がいいから • 請求(AWS利⽤費)の分離 • IAM権限の分離 • リソース制限(サービスクオータ)の存在 ※ただし、アカウントが分かれてしまうために管理しづらくなる⾯も... 26

27. マルチアカウント管理の効率化 AWS Organizations • 複数のAWSアカウントをOUというグループ単位でまとめて管理できる • マルチアカウント管理における便利な機能がたくさん使える • ただし利⽤は必須ではない 27

28. AWS環境分割の基本：まとめ • AWSの環境分割パターン → AWSアカウントで分割するマルチアカウント構成がおすすめ • なぜマルチアカウントなのか → 請求の分離、IAMの分離、リソース制限を背景に運⽤上都合がいい →

    AWS Organizationsで複数のアカウントを効率的に管理できる 28

29. 実践編 29

30. 実践編のゴール • AWS Control Towerでどんなことができるのか把握する • マルチアカウント管理を始めるまでの検討‧判断ができる • マルチアカウント管理における組織づくりの重要性を理解する 30

31. 実践編： AWS Control Towerを使って できること、できないこと 31

32. AWS Control Tower 32 ランディングゾーン (Landing Zone) = AWSのベストプラクティスに基づいて構成した アカウントをセキュアかつスケーラブルに展開していくための仕組み。

    マネジメントコンソールから数Stepの作業、1時間程度でランディングゾーンを構築できる。 構築したランディングゾーンはバージョンで管理され、⼿動で更新できる。 https://aws.amazon.co m/jp/controltower/

33. AWS Control Towerの機能 • セキュアなマルチアカウント構成（Security OU、Auditアカウント、 LogArchiveアカウント）の初期構築 • IAM Identity

    Center を利⽤したSSO基盤の構築 • ランディングゾーンを継続監視するダッシュボード • Control Towerが収集するセキュリティログの⾃動集約 • Control Tower管理下のAWSアカウントを素早く作成する仕組み • 指定のリージョンを使⽤不可にするリージョン拒否SCPの作成 • AWS Configレコーダー、AWS CloudTrail 組織証跡の管理 • ランディングゾーン全体のバージョン管理‧更新 など 33

34. AWS Control Towerを使ってできること • セキュアなAWS環境を作り始めるためのスタートラインに 最速でたどり着くこと • その他のAWSセキュリティサービスなどのソリューションを 組み合わせたセキュアなAWS環境を作る基盤となること •

    セキュアなAWSアカウントを 迅速に‧効率よく (= スケーラブルに) 払い出すこと 34

35. AWS Control Towerを使ってできないこと • あまり学習コストをかけずにセキュアなマルチアカウント環境 を構築‧運⽤すること • アカウント管理⾃体の運⽤負荷をゼロに抑えること • Control

    Towerで管理されるリソースのパラメータ変更 • ランディングゾーンのバージョン切り戻し 35

36. アカウント管理‧ガバナンス関連の直近のアップデート • AWS Organizations 関連 ◦ [アップデート ]AWS Organizationsで作成出来る SCP数の上限が

    2,000に引き上げられました (2024.6.5) ◦ [アップデート ] Amazon Macie + Organizations で組織の委任された管理者がメンバーアカウントに対して機密 データ自動検出機能の有効・無効を切り替えれるようになりました (2024.06.17) ◦ [アップデート ] AWS Resource Explorer がマルチアカウントのリソース検索に対応しました (2023.11.13) • AWS Control Tower 関連 ◦ [アップデート ]AWS Control Towerのランディングゾーン バージョン 3.3がリリース！よりセキュアになりました！ (2023.12.14) ◦ [アップデート ] AWS Control Tower に新たに 65 個のコントロールが追加されて OU 単位でのリージョン制限も で きるようになりました #AWSreInvent (2023.11.28) ◦ [アップデート ]API を使用して AWS Control Tower ランディング ゾーン操作の自動化が可能になりました #AWSreInvent (2023.11.27) • AWS Security Hub 関連 ◦ [アップデート ]AWS Security Hubの組織への展開がセキュリティ標準やコントロールなどをカスタマイズして設定 できるようになりました！ #AWSreInvent (2023.11.27) 36

37. AWS Control Towerでできること、できないこと：まとめ • できること： ◦ AWSベストプラクティス環境のスタート地点に⽴つこと ◦ スケーラブルにAWSアカウントを払い出すこと •

    できないこと： ◦ 学習コストをかけずにAWSマルチアカウントを管理運⽤すること ◦ 運⽤負荷をゼロにすること 37

38. 実践編： AWSマルチアカウント環境を作る前 に考えるべきポイント 38

39. AWS Control Towerの利⽤ マルチアカウント管理の導⼊は ビジネス要件 39

40. AWSマルチアカウント管理を やっていくためには ビジネス層の理解が必要 40

41. AWSマルチアカウント環境を作る前に • ガバナンス要件に基づくシステム要件の整理 • マルチアカウント環境を運⽤する体制の検討 41

42. ガバナンス要件の基づくシステム要件の例 • コンプライアンス要件の確認（例：GDPR、FISC、PCI DSSなど） • セキュリティポリシーの確認 • データ管理ポリシーの確認 • ガバナンス要件を満たすためのAWSサービスや機能の特定

    • 必要なセキュリティ設定やアクセス制御の要件の整理 • 監査やログ記録に関する要件の整理 42

43. マルチアカウント運⽤体制の例 • CCoE (Cloud Center of Excellence)という組織を中⼼に AWSマルチアカウント管理を業務として対応 43

44. その要件は本当に Organizations / Control Towerを 使わないと満たせないのか？ 44

45. AWS Control Towerの代替となる選択肢 • Control Towerなしでセルフマネージドな マルチアカウント環境を構築する • AWSリセラーにアカウント管理を任せて 独⾃のOrganizationsを構築しない

    • AWSに依存しない形でSaaS製品を駆使して構築 45

46. MA環境を作る前に考えるべきポイント：まとめ • AWSマルチアカウント環境の導⼊はビジネス要件 • ビジネス要件、ガバナンス要件に合わせてシステム要件を整理 • 運⽤体制の整備も忘れずに • 代替の選択肢も⼗分検討した上で選択する 46

47. 実践編： セキュアなAWS運⽤のための組織づくり 47

48. セキュリティガバナンスは コストセンターである （と思われがち） 48

49. セキュリティガバナンスは コストセンターではなく 価値創造の基盤です 49

50. 組織全体でセキュリティをやる • 『Security Always Start With Culture』 • 『Culture of

    security』  by AWS CISO - Chris Betz @AWS re:Inforce 2024 50

51. 経営層を AWS re:Invent、AWS re:Inforce に連れていく 51

52. AWSベストプラクティスから学 ぶ • AWS Cloud Adoption Framework ◦ Business /

    People / Governance / Platform / Security / Operation • AWS Well-Architected Framework ◦ セキュリティの柱 • AWS Security Maturity Model ◦ クラウドセキュリティのトレーニング ◦ 開発時にセキュリティチームが参画 ◦ 開発内のセキュリティチャンピオン 52

53. 実践編：まとめ • AWS Control Towerを使ってできること、できないこと → 最速でスタートラインに辿り着くための1つの⼿段。 • AWSマルチアカウント環境を作る前に考えるべきポイント →

    ガバナンス要件を整理。Control Towerの利⽤が必須か否かを検討。 • セキュアなAWS運⽤のための組織づくり → コストセンターから価値創造の基盤へ。ベストプラクティスから学ぶ。 53

54. 全体のまとめ • セキュリティはAWSにおける最重要な概念の1つ。セキュアな状態を維持させ ることが⼤切。環境分割はAWSアカウント単位を推奨。 • AWS Control Towerを使うと、ランディングゾーンを簡単に構築できるが、 万能ではない。 •

    マルチアカウント管理の導⼊はビジネス要件。代替の選択肢も検討すべき。 • コストセンターから価値創造の基盤へ。経営層の理解が⼤事。 54
55. None

56. 56